Det blir allt vanligare att nätkriminella använder korrekta certifikat för att lura sina offer, speciellt är detta förekommande inom nätfiske och man-i-mitten-attacker. När landningssidor för nätfiskekampanjer har korrekta certifikat blir det svårare att upptäcka misstänkta sidor.

Idag har en stor majoritet av nätfiskesidorna ssl-certifikat och kommunicerar över https. Orsaken till att cyberkriminella kan komma över ssl-certifikat från certifikatutgivare beror både på slarv, buggar och i ett fåtal förekommande fall korruption.

Forskare vid School of Informatics and Computing vid Indiana University Bloomington i USA har tittat närmare på varför certifikatutgivare ger ut certifikat till individer eller organisationer som i vissa fall uppenbarligen inte borde få dem.

Forskarna har undersökt vilka som är de vanligaste orsakerna till dessa fel genom att analysera offentlig information från bland annat Mozillas bugzilla-tracker och diskussioner inom säkerhetsteamen på Firefox och Chrome på Google Groups . Forskarna tittade på 379 specifika fall av över 1300 kända fall av felaktigt utgivna ssl-certifikat.

Gott om exempel på felaktiga grunder

Certifikatutgivarna organiseras inom industrigruppen CA/B Forum med medlemmar från i princip alla leverantörer av webbläsare, operativsystem och certifikatutgivarna själva. Denna organisation reglerar hur och på vilka villkor certifikat ska få ges ut genom att publicera riktlinjer som alla utgivare väntas följa. Trots detta finns det gott om exempel genom åren på att certifikatutgivare gett ut certifikat på felaktiga grunder.

Den vanligaste orsaken till att certifikat felaktigt ges ut, 24 procent av de felaktigt utgivna certifikaten, är buggar i utgivarnas mjukvara, och den näst vanligaste orsaken (18 procent) är misstolkningar av CA/B Forums regler, eller att man missat ändringar av reglerna. Först på tredje plats (14 procent) kommer de fall där certifikatutgivaren medvetet gjort fel, oftast för ekonomisk vinnings skull.

Även om medvetna felaktiga utgivningar inte tillhör de vanligaste, är det förstås dessa som är mest alarmerande. De fel som görs är till exempel att tidigarelägga utgivningsdatumet för SHA-1-certifikat (som borde dras tillbaka av säkerhetsskäl), att ta betalt för att dra tillbaka komprometterade certifikat, eller att sälja certifikat till fall av man-i-mitten-attacker.

Läs också:
9 tecken på att du är utsatt för social ingenjörskonst
Så blir vanliga molntjänster ett vapen i händerna på kriminella